Microsoft đã cảnh báo về một chiến dịch lừa đảo Adversary-in-the-Middle (AitM) và lừa đảo qua email doanh nghiệp (BEC) nhiều giai đoạn, nhắm vào nhiều tổ chức trong lĩnh vực năng lượng.
Nhóm nghiên cứu bảo mật Microsoft Defender cho biết: "Chiến dịch đã lạm dụng các dịch vụ chia sẻ tệp SharePoint để phân phối tải trọng lừa đảo và dựa vào việc tạo quy tắc hộp thư đến để duy trì sự dai dẳng và né tránh sự phát hiện của người dùng." "Cuộc tấn công đã chuyển thành một loạt các cuộc tấn công AitM và các hoạt động BEC tiếp theo trải rộng trên nhiều tổ chức."
Là một phần của hoạt động hậu khai thác sau khi xâm nhập ban đầu, các kẻ tấn công không xác định đã được phát hiện lợi dụng các danh tính nội bộ đáng tin cậy từ nạn nhân để thực hiện các cuộc tấn công lừa đảo quy mô lớn trong nội bộ tổ chức và bên ngoài, nhằm mục đích mở rộng phạm vi chiến dịch.
Điểm khởi đầu của cuộc tấn công là một email lừa đảo có khả năng được gửi từ một địa chỉ email thuộc về một tổ chức đáng tin cậy đã bị xâm nhập từ trước. Lợi dụng kênh hợp pháp này, các tác nhân đe dọa đã gửi các tin nhắn giả mạo quy trình chia sẻ tài liệu SharePoint để tạo vỏ bọc đáng tin cậy và lừa người nhận nhấp vào các URL lừa đảo.
Vì các dịch vụ như SharePoint và OneDrive được sử dụng rộng rãi trong môi trường doanh nghiệp và email đến từ một địa chỉ hợp pháp, chúng ít có khả năng gây nghi ngờ, cho phép kẻ tấn công gửi các liên kết lừa đảo hoặc dàn dựng các tải trọng độc hại. Phương pháp này còn được gọi là living-off-trusted-sites (LOTS), vì nó vũ khí hóa sự quen thuộc và phổ biến của các nền tảng này để phá vỡ các cơ chế phát hiện dựa trên email.
Về phần mình, URL chuyển hướng người dùng đến một lời nhắc thông tin đăng nhập giả mạo để xem tài liệu được cho là. Được trang bị quyền truy cập vào tài khoản bằng thông tin đăng nhập bị đánh cắp và session cookie, kẻ tấn công tạo các quy tắc hộp thư đến để xóa tất cả email đến và đánh dấu tất cả email là đã đọc. Với nền tảng này, hộp thư đến bị xâm nhập được sử dụng để gửi các tin nhắn lừa đảo chứa một URL giả mạo được thiết kế để thực hiện đánh cắp thông tin đăng nhập bằng một cuộc tấn công AitM.
Trong một trường hợp, Microsoft cho biết kẻ tấn công đã khởi xướng một chiến dịch lừa đảo quy mô lớn liên quan đến hơn 600 email được gửi đến các liên hệ của người dùng bị xâm nhập, cả trong và ngoài tổ chức. Các tác nhân đe dọa cũng được quan sát thấy đã thực hiện các bước để xóa các email chưa gửi và email vắng mặt, đồng thời đảm bảo với người nhận email về tính xác thực của email nếu họ nêu bất kỳ lo ngại nào. Thư tín sau đó được xóa khỏi hộp thư.
"Những kỹ thuật này phổ biến trong bất kỳ cuộc tấn công BEC nào và nhằm mục đích giữ cho nạn nhân không biết về các hoạt động của kẻ tấn công, từ đó giúp duy trì sự dai dẳng," nhà sản xuất Windows lưu ý.
Microsoft cho biết cuộc tấn công làm nổi bật "sự phức tạp trong hoạt động" của AitM, khẳng định rằng chỉ việc đặt lại mật khẩu thôi không thể khắc phục mối đe dọa, vì các tổ chức bị ảnh hưởng phải đảm bảo rằng họ đã thu hồi các session cookie đang hoạt động và xóa các quy tắc hộp thư đến do kẻ tấn công tạo ra để né tránh phát hiện.
Với mục đích đó, công ty lưu ý rằng họ đã làm việc với khách hàng để thu hồi các thay đổi multi-factor authentication (MFA) do kẻ tấn công thực hiện trên tài khoản người dùng bị xâm nhập và xóa các quy tắc đáng ngờ được tạo trên các tài khoản đó. Hiện tại vẫn chưa biết có bao nhiêu tổ chức bị xâm nhập và liệu đây có phải là công việc của một nhóm tội phạm mạng đã biết nào không.
Các tổ chức được khuyên nên làm việc với nhà cung cấp danh tính của họ để đảm bảo các kiểm soát bảo mật như MFA chống lừa đảo được áp dụng, kích hoạt conditional access policies, triển khai continuous access evaluation, và sử dụng các giải pháp chống lừa đảo giám sát và quét email đến cũng như các trang web đã truy cập.
Cuộc tấn công được Microsoft nêu rõ làm nổi bật xu hướng đang diễn ra trong giới tác nhân đe dọa nhằm lạm dụng các dịch vụ đáng tin cậy như Google Drive, Amazon Web Services (AWS) và Confluence wiki của Atlassian để chuyển hướng đến các trang web thu thập thông tin đăng nhập và dàn dựng mã độc. Điều này loại bỏ nhu cầu kẻ tấn công phải xây dựng cơ sở hạ tầng riêng của họ cũng như làm cho hoạt động độc hại có vẻ hợp pháp.
Các chiến dịch Vishing và lừa đảo tùy chỉnh
Thông tin tiết lộ này được đưa ra khi nhà cung cấp dịch vụ danh tính Okta cho biết họ đã phát hiện các bộ công cụ lừa đảo tùy chỉnh được thiết kế đặc biệt để sử dụng trong các chiến dịch lừa đảo qua điện thoại (hay còn gọi là vishing) nhắm vào Google, Microsoft, Okta và nhiều nền tảng tiền điện tử khác. Trong các chiến dịch này, kẻ tấn công, giả dạng nhân viên hỗ trợ kỹ thuật, gọi điện cho các mục tiêu tiềm năng bằng cách sử dụng đường dây nóng hỗ trợ hoặc số điện thoại công ty giả mạo.
Các cuộc tấn công nhằm lừa người dùng truy cập vào một URL độc hại và cung cấp thông tin đăng nhập của họ, sau đó thông tin này sẽ được chuyển tiếp đến các tác nhân đe dọa trong thời gian thực thông qua kênh Telegram, cấp cho họ quyền truy cập trái phép vào tài khoản. Các nỗ lực social engineering được lên kế hoạch kỹ lưỡng, với việc kẻ tấn công tiến hành trinh sát mục tiêu và tạo ra các trang lừa đảo tùy chỉnh.
Các bộ công cụ này, được bán dưới dạng dịch vụ (as-a-service), được trang bị các client-side script giúp các tác nhân đe dọa kiểm soát luồng xác thực trong trình duyệt của người dùng mục tiêu theo thời gian thực, khi họ đưa ra hướng dẫn bằng lời nói và thuyết phục người dùng thực hiện các hành động (ví dụ: chấp thuận thông báo đẩy hoặc nhập mật khẩu một lần) có thể dẫn đến việc bỏ qua MFA.
"Sử dụng các bộ công cụ này, một kẻ tấn công đang gọi điện cho người dùng mục tiêu có thể kiểm soát luồng xác thực khi người dùng đó tương tác với credential phishing pages," Moussa Diallo, nhà nghiên cứu mối đe dọa tại Okta Threat Intelligence, cho biết. "Họ có thể kiểm soát những trang mà mục tiêu nhìn thấy trong trình duyệt của họ một cách đồng bộ hoàn hảo với các hướng dẫn mà họ đang cung cấp qua cuộc gọi. Tác nhân đe dọa có thể sử dụng sự đồng bộ này để đánh bại bất kỳ hình thức MFA nào không chống lại được lừa đảo."
Các kỹ thuật lừa đảo khác
Trong những tuần gần đây, các chiến dịch lừa đảo đã khai thác Basic Authentication URLs (ví dụ: "username:password@domain[.]com") bằng cách đặt một miền đáng tin cậy vào trường username, sau đó là ký hiệu @ và miền độc hại thực tế để đánh lừa nạn nhân về mặt hình ảnh.
"Khi người dùng nhìn thấy một URL bắt đầu bằng một miền quen thuộc và đáng tin cậy, họ có thể cho rằng liên kết đó là hợp pháp và an toàn để nhấp," Netcraft cho biết. "Tuy nhiên, trình duyệt diễn giải mọi thứ trước ký hiệu @ là thông tin xác thực, chứ không phải là một phần của đích đến. Miền thực, hoặc miền mà trình duyệt kết nối, được bao gồm sau ký hiệu @."
Các chiến dịch khác đã sử dụng các thủ thuật đánh lừa thị giác đơn giản như dùng "rn" thay cho "m" để che giấu các miền độc hại và lừa nạn nhân nghĩ rằng họ đang truy cập một miền hợp pháp liên quan đến các công ty như Microsoft ("rnicrosoft[.]com"), Mastercard ("rnastercard[.]de"), Marriott ("rnarriotthotels[.]com"), và Mitsubishi ("rnitsubishielectric[.]com"). Đây được gọi là một homoglyph attack.
"Mặc dù kẻ tấn công thường nhắm vào các thương hiệu bắt đầu bằng chữ M cho kỹ thuật này, nhưng một số miền thuyết phục nhất đến từ việc hoán đổi chữ 'm' bên trong một từ bằng 'rn'," Ivan Khamenka của Netcraft cho biết. "Kỹ thuật này trở nên nguy hiểm hơn nữa khi nó xuất hiện trong các từ mà các tổ chức thường sử dụng như một phần của thương hiệu, subdomain hoặc định danh dịch vụ của họ. Các thuật ngữ như email, message, member, confirmation và communication đều chứa các chữ 'm' ở giữa từ mà người dùng hầu như không xử lý."
